Malvér HotPage
Výskumníci v oblasti kybernetickej bezpečnosti odhalili adware modul, ktorý tvrdí, že blokuje reklamy a podvodné webové stránky. Tajne však inštaluje komponent ovládača jadra, ktorý hackerom umožňuje spúšťať ľubovoľný kód so zvýšenými oprávneniami v systémoch Windows. Tento malvér s názvom HotPage je identifikovaný podľa inštalačného súboru „HotPage.exe“.
Obsah
Ako funguje malvér HotPage?
Inštalačný program nastaví ovládač, ktorý dokáže vložiť kód do vzdialených procesov, spolu s dvoma knižnicami, ktoré zachytávajú a manipulujú sieťovú prevádzku prehliadača. Tento malvér je schopný upraviť alebo nahradiť obsah webových stránok, presmerovať používateľov na iné stránky alebo otvárať nové karty na základe špecifických podmienok.
Okrem toho, že tento malvér využíva funkcie zachytávania a filtrovania prevádzky na zobrazovanie reklám súvisiacich s hrami, je určený na zhromažďovanie a prenos systémových informácií na vzdialený server prepojený s čínskou spoločnosťou Hubei Dunwang Network Technology Co., Ltd.
Hlavnou funkciou ovládača je vložiť tieto knižnice do aplikácií prehliadača, zmeniť tok ich vykonávania, aby sa zmenila prístupná adresa URL alebo aby sa zabezpečilo, že domovská stránka nových relácií prehliadača bude presmerovaná na adresu URL špecifikovanú v jeho konfigurácii.
Útočníci by mohli získať privilégiá najvyššej úrovne na infikovaných zariadeniach
Nedostatok zoznamov riadenia prístupu (ACL) pre ovládač umožňuje útočníkovi s neprivilegovaným účtom zneužiť ho na získanie zvýšených privilégií, čo mu umožní spustiť kód ako účet NT AUTHORITY\System.
Tento komponent jadra neúmyselne vystavuje najvyššiu úroveň privilégií v systéme Windows, systémový účet, potenciálnym hrozbám. Kvôli neadekvátnym obmedzeniam prístupu môže akýkoľvek proces interagovať s týmto komponentom a využiť jeho schopnosť vkladania kódu na zacielenie na nechránené procesy.
Zatiaľ čo presná metóda distribúcie inštalačného programu nie je jasná, existujú dôkazy, ktoré naznačujú, že bol uvedený na trh ako bezpečnostné riešenie pre internetové kaviarne, pričom sa tvrdí, že zlepšuje zážitok z prehliadania blokovaním reklám.
HotPage Malware využíva podpísaný certifikát
Vložený ovládač tohto malvéru je obzvlášť pozoruhodný, pretože je podpísaný spoločnosťou Microsoft. Predpokladá sa, že čínska spoločnosť, ktorá za tým stojí, splnila požiadavky Microsoftu na podpisovanie kódu ovládača a získala certifikát Extended Verification (EV). Ovládač bol však odstránený z katalógu Windows Server od 1. mája 2024.
Windows vyžaduje, aby boli ovládače v režime jadra digitálne podpísané ako kritické bezpečnostné opatrenie na ochranu pred podvodnými ovládačmi, ktoré by mohli oslabiť bezpečnostné kontroly a narušiť systémové procesy.
Napriek tomu experti na kybernetickú bezpečnosť zistili, že pôvodní čínsky hovoriaci aktéri hrozieb využívajú medzeru v politike Microsoft Windows na falšovanie podpisov na ovládačoch v režime jadra. Analýza HotPage, ktorá sa javí ako relatívne generický malvér, dokazuje, že vývojári adwaru pokračujú vo veľkom úsilí, aby dosiahli svoje ciele.
